splunk 实例

 

splunk实例 

简介

　　splunk 是一个针对IT数据的数据引擎软件，这些IT数据来自于组成你的IT基础架构设施的各种应用程序,服务器，网络设备,等等。Splunk是一个强大和灵活的搜索分析引擎，通过收集和索引各种来源IT数据，你可以实时的对IT基础架构设施的任何地方发生的问题进行调查分析,故障检查,监控报警一级可视化报表展现。

安装

　　操作系统 :    Ubuntu 12.04 LTS

     splunk版本 :  splunk-4.3.3  

cd /tmpwget -O splunk-4.3.3-128297-linux-2.6-amd64.deb 'http://www.splunk.com/page/download_track?file=4.3.3/splunk/linux/splunk-4.3.3-128297-  linux-2.6-amd64.deb&ac=&wget=true&name=wget&typed=releases'sudo dpkg -i splunk-4.3.3-128297-linux-2.6-amd64.debsudo /opt/splunk/bin/splunk start

      执行完毕后

      你可以通过浏览器 http://your-host:8000 访问splunk页面, 默认用户admin , 默认密码 changeme

典型实例

 @see  http://docs.splunk.com/Documentation/Splunk/latest/User/WelcometotheSplunktutorial

 

添加数据

 　 下载样本数据

cd /tmpwget http://docs.splunk.com/images/Tutorial/Sampledata.zip注：你只需下载这个这个文件,不需要解压缩

     下载结束后，回到splunk web管理页面, 在页面的右上角选择"管理"

   

     进入管理页面后，选择"数据导入",并新建一个"文件和目录"模型,跳过preview

    

　　

      进入添加页面后,在"数据源"部分选择"上传并索引文件" ,上传我们刚下载的样本数据      

　　

     在"更多设置中",主机名称选择"路径的正则表达式"，在"正则表达式"中,输入下面的表达式.

     

     如果splunk是安装在Unix/linux系统,输入下面的表达式　　　

Sampledata\.zip:./([^/]+)/

     如果splunk是安装在windows系统，输入下面的表达式

Sampledata\.zip:.\\([^\\]+)\\

　 其余部分使用splunk默认设置即可，操作完毕后，请点击"保存"

 

搜索应用

　　在Splunk里面，各种功能模块，内容展现是以"应用"(apps)的方式呈现的，一个"应用"就是异类内容，资源的集合，例如所定义字段名称，已保存的报表和搜索或者是仪表盘。

    Splunk公司网站的splunkbase里面已经有很多的apps可以提供用户直接下载使用.

    @see http://splunk-base.splunk.com/apps/

    Search应用是splunk系统的一个主要内置应用。下面介绍下Search应用的仪表盘.

   

     我们输入一个搜索词，或者选择某一种类型数据的链接,就会进入搜索展现页面

     

     注意：

     搜索结果数据如果很大,到30秒的时候，系统会提示是否暂停搜索,还是继续完成搜索。你可以选择继续或者暂